8月1日病毒播报：木马感染电脑沦为傀儡主机

在今天的病毒中“变异体”变种brk和“毒疤”变种xlf值得关注。

英文名称：TrojanDownloader.Geral.brk

中文名称：“变异体”变种brk

病毒长度：978432字节

病毒类型：木马下载器

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：334b7e9070ca4ccdaf0dade59b46fda9

特征描述：

TrojanDownloader.Geral.brk“变异体”变种brk是“变异体”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“变异体”变种brk运行后，会释放恶意DLL组件“CCtest.dll”至被感染系统的“%programfiles%\\RAV\\”文件夹下”，还会在相同文件夹和“%SystemRoot%\\system32\\drivers\\”文件夹下释放恶意驱动程序“CCtest.sys”和“pcidump.sys”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。后台遍历当前系统中运行的所有进程，如果发现某些指定的安全软件存在，“变异体”变种brk便会尝试将其强行关闭，从而达到自我保护的目的。秘密连接骇客指定的远程站点“121.12.*.5”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“变异体”变种brk会在被感染计算机中注册名为“Ms-tl_Srv”的系统服务，以此实现开机后自动运行。

英文名称：Trojan/Scar.xlf

中文名称：“毒疤”变种xlf

病毒长度：32768字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：13ee9a94ee27a43872f6c3929bd0d51a

特征描述：

Trojan/Scar.xlf“毒疤”变种xlf是“毒疤”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“毒疤”变种xlf运行后，会自我复制到被感染系统的“%SystemRoot%\\system32\\”文件夹下，重新命名为“Win32.exe”。“毒疤”变种xlf运行时，会将恶意代码注入到系统进程“svchost.exe”的内存空间中隐秘运行。不断尝试与控制端（IP地址为：61.191.*.211:888）进行连接，如果连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），会给用户的信息安全构成严重的威胁。另外，“毒疤”变种xlf会在被感染计算机中注册名为“Win32 ”的系统服务，以此实现开机自启。